我正在运行ELK堆栈的5.3.0版本
这是我的logstash配置的输出部分:
output {
if [type] == "syslog" {
elasticsearch {
hosts => myserver
index => "logstash-syslog-%{+YYYY-MM-dd}"
template_name => "MyTemplateIWantToEdit"
template => "/etc/my/template/blah"
template_overwrite => true
}
}
我这样做是为了将我的模板应用于logstash转发到的索引,它运行良好。
但现在我想编辑我的一个模板。当我修改模板时,我会将logstash应用于索引会发生什么?这会导致Elasticsearch重新索引整个索引还是创建一个新索引?
我几乎想要编辑模板并重新启动logstash以查看会发生什么,但我不想破坏任何东西!
另外,我正在使用logstash通过“logstash-syslog - %{+ YYYY-MM-dd}”创建新索引。不确定这会如何影响重新索引
答案 0 :(得分:1)
弹性不会自动重新索引任何内容。如果更改映射,则只会处理新文档。弹性支持通过Reindex Api重新索引,但它仍然会创建新的索引。